Nachdem mein Kollege letztes Jahr die Gelegenheit hatte, die BlackHat EU zu besuchen, bin ich dieses Mal auch hingeflogen. Ich werde diesen Artikel immer wieder mit den von mir gesammelten Eindrücken aktualisieren. Ich hoffe dieses Jahr wird das Wetter besser und die Qualität der Vorträge auch.
Der Vorabend
Die Registrierung war mehr als schleppend. Kurz vor Ende der Zeit hatte wohl keiner mehr so recht Lust, noch Registrierungen durchzuführen. Lustig ist, dass man mehr als deutlich darauf hingewiesen wird, dass ein Verlust der Anmeldekarte zum Ausschluss führt und ein erneutes Ausdrucken der Registrierung 350€ kostet – muss wohl in der Vergangenheit zu einigen Unstimmigkeiten geführt haben.
Naja, wie soll ich’s sagen… es gibt keine Vorabendveranstaltung. Nicht mal ein meet and greet. Vereinzelte Tweeter formieren sich zum gemeinsamen Bier-Trinken in der Hotellobby, aber ob das mein Geldbeutel mit macht, wage ich zu bezweifeln. 8,70 € für ein Bier ist doch etwas viel.
Tag 1
Defying Logic – Theory, Design and Implementationof complex Systems for Testing Application Logic:
So lang der Titel des Vortrags auch ist, die Kernaussage ist sehr kurz gewesen: Scanner sind gut und wichtig, jedoch muss man immer noch sein Hirn einschalten, denn kein Scanner der Welt kann bisher Prozesse, für die eine Applikation entworfen wurde, prüfen. Ein erstes Tool, das in die Richtung „Prozesslogik-Test“ geht, wurde von Whiterabbit gezeigt, ist aber noch sehr PoC-Like.
HTTP-Parameter Pollution Vulns in Web-Apps
Spannende Frage: Was passiert, wenn ein Parameter mehrfach gesetzt wird? Der Vortrag hat mehrere Dinge verdeutlicht:
- reCaptcha ist sinnvoll (in der Demo hat der Redner leider mehrere Anläufe und dadurch Zeit gebraucht).
- Jeder Parameter muss validiert werden.
- Parameter sollten nur über einen bestimmten Kanal angenommen werden (z. B. HTTP-POST) und nicht über verschiedene Kanäle (GET/POST).
Web Application Payloads
Vorstellung des w3af Frameworks. Im Vortrag wurde gezeigt, dass es bisher kein einziges Tool gibt, das nach dem Scannen sich um das Ausnutzen von Schwachstellen kümmert. Sehe ich kritisch, da ich nicht ausnutzen möchte, sondern nur zeigen möchte, dass eine Schwachstelle vorhanden ist, evtl. mit einem PoC. Ein PoC bedeutet aber nicht, dass ich mit gänzlicher Härte „alles“ herausholen möchte, zumindest zuerst nicht.
Grepping for Gold
Tja, da hätte ich mal besser die Kurzinfo gelesen, bevor ich mir das angetan habe. Ein Workshop, in dem es um OSSEC geht. Spannendes Thema an sich, aber wenn man sich mal mit dem Tool beschäftigt hat, dann weiß man, dass
- es sehr viel Zeit braucht, um eine wirklich gut funktionierende Umgebung zu haben
- das nicht im Rahmen eines Beginner-Workshops der Fall sein wird.
The ABAP Underverse – Risky ABAP to Kernel communication and ABAP-tunneled buffer overflows
Man muss nicht masochistisch veranlagt sein, um als Nicht-SAP-Mensch sich soetwas anzutun. Dennoch interessant zu erfahren, dass man mit 35 bzw. 64 Zeilen ABAP-Code das System beherrschen kann. Die Audienz war nicht besonders groß, scheint wohl unter den Besuchern nicht so weit verbreitet zu sein (das Thema). Spannend war jedoch in Twitter mitzulesen während dem Vortrag, dass sich 4 SAP-Angestellte getarnt (ohne Firmenangabe auf dem Namensschild) im Raum aufgehalten haben.
Keynote von Bruce Schneier über Cyberwar
Bemerkenswerterweise wurde die Keynote nicht wie üblich zu Beginn einer Veranstaltung gehalten, sondern am Ende des 1. Tages. Wurde jedoch damit begründet, dass der Redner nicht eher Zeit gehabt habe und erst am späten Nachmittag eingeflogen wurde. Jetzt gab’s auch endlich mal die Gelegenheit sich einen Überblick über die Menschenmassen, die die Blackhat besuchen, zu verschaffen – rund 150-200 Leute dürften es schon gewesen sein. Zurück zur Keynote: ja, es gibt keine Definition, was ein Cyberwar ist und ja, man kann es nicht mit dem klassischen Krieg vergleichen. Bruce hat das dann an den unterschiedlichsten Ereignissen gespiegelt. Letzten Endes noch ein wenig Werbung für sich selbst, seinen Newsletter und seinen Blog gemacht und dann war die „Präsentation“, er selbst stand redend auf der Bühne und hat Wasser (aus der Flasche 😉 ) getrunken und hat dabei geredet, zu Ende. Jeder andere Redner hatte sich ein Glas genommen.
Empfang sponsored by Microsoft
Bruce hat gemeint, dass wenn der Empfang nichts hergibt, dann solle man „zu den Anderen gehen und denen alles Wegtrinken“ (es war noch eine Messe im Veranstaltungsgebäude). Naja, M$ hat gut was springen lassen und alles Stand im Zeichen der XBox mit Kinect.
Tag 2
Frühstück im Stehen? Lieber im Hotel vernünftig im Sitzen frühstücken, die Auswahl war auch größer als „Süße Stückchen“.
EAPEAK – Wireless 802.1X EAP Identification and Foot Printing Tool
Vorstellung eines Python-Scripts, dass aus einem PCAP-Trace Informationen über die verwendete Authentisierungsmechanismen extrahiert (PEAP, LEAP usw.). Wird wohl in einer der späteren Releases noch zum Attacking-Tool, man darf also gespannt sein.
Stuxnet Redux: Malware Attribution & Lessons Learned
Ich weis nicht ob es an der Vortragsweise oder an meinem Sprachenverständnis lag, aber es war kaum verständlich. Es kamen auch kaum Rückfragen. Btw: Ich finde Vorträge ohne Demos eh nicht so gut 😉
Building Custom Disassemblers
FX hat über seine Erfahrungen beim Bau von Disassemblern erzählt. Bestes zusammenfassendes Zitat aus seinem Vortrag war „You can’t build something beautiful out of a Topic thats totally ugly“, gemeint ist der Code.
Building Floodgates: Cutting-Edge Denial of Service Mitigation
Meiner Meinung nach der spannendste Vortrag der Konferenz: Die zwei Redner zeigten eindrucksvoll einen PoC, wie man DoS-Attacken auf Layer 7 (leider nur HTTP) unterbinden könnte (wichtig: könnte). Sie haben für nginx ein Tool geschrieben, dass bei einem Aufruf transparent untersucht, ob die Anfrage wirklich von einem Browser kommt (Prüfung auf einen DOM-Interpreter, JavaScript, Flash, …). Es wird also vor der Auslieferung einer Seite mittels JS, Flash oder Silverlight überprüft, ob es sich wirklich um einen Browser handelt. Ist dem so, wird ein Cookie angelegt, das einen Hash aus IP, TCP-Window-Time und noch ein paar Parametern anlegt und im Folgeaufruf an den Server sendet, der wiederum im Erfolgsfall dann die eigentliche Seite ausliefert. Spannender Ansatz finde ich und eine beeindruckende Life-Demo (insgesamt haben sehr wenige Live demonstriert, das Gros nutzte Video-Demos). Zum „könnte“: während des Vortrags sind in einzelnen Fragen schon Ansätze einer Umgehung dieser Methodik diskutiert worden.
You are Doing it Wrong: Failures in Virtualization Systems
„Sicherheit den Sicherheitsleuten“ so oder so ähnlich der Aufruf in den Folien des italienischen Landsmanns. Er zeigte (ebenfalls live) einige Angriffe auf VMWare vSphere mit VASTO. Aber noch spannender war seine Aussage, dass die Sicherheit wieder zu den Sicherheitsleuten gelangt, indem diese, wie vor 23 Jahren mit Hilfe von Firewalls erstmals praktiziert, rudimentäre Sperren errichten. Seine entwickelte Sperre war der „vGatekeeper“, der als intercepting Proxy über Anfragen an das VMWare vCenter wacht und als „böse“ deklarierte Aktionen verhindert (wohlgemerkt, das war seeeeehr PoC-like). Der Vortrag mit den meisten Folien und teilweise hatte eine Folie nur eine Verweildauer von 3 Sekunden, ganz der hastigen Sprachen angepasst.
Resumé
Tag 1 war besser als Tag 2, da die Dichte an interessanten Vorträgen insgesamt an Tag 1 höher gewesen ist. Dennoch waren die Vorträge insgesamt okay. Das Wetter übrigens auch 🙂